Γενικός Κανονισμός για την Προστασία Δεδομένων ή GDPR!

Στις 25 Μαΐου 2018, τίθεται σε ισχύ ο Γενικός Κανονισμός για την Προστασία Δεδομένων ή GDPR,  περί ιδιωτικού απορρήτου, ο οποίος θέτει νέο παγκόσμιο πρότυπο για τα δικαιώματα ιδιωτικού απορρήτου, ασφάλειας και συμμόρφωσης. Πρόκειται για Ευρωπαϊκό Νόμο που θα έχει ισχύ σε όλη την Ευρωπαϊκή Ένωση και αφορά την προστασία και τη διασφάλιση των δικαιωμάτων ιδιωτικού απορρήτου των μεμονωμένων ατόμων. Ο Κανονισμός αυτός απαιτεί την ύπαρξη διαδικασιών που διέπουν τον τρόπο διαχείρισης και προστασίας των προσωπικών δεδομένων, ενώ παράλληλα σέβονται τις ατομικές επιλογές, ανεξάρτητα από το πού αποστέλλονται, επεξεργάζονται ή αποθηκεύονται τα δεδομένα.

Ο κανονισμός θέτει νέους κανόνες για τις εταιρείες, τους κρατικούς οργανισμούς, τις μη κερδοσκοπικές οργανώσεις και τους υπόλοιπους οργανισμούς που προσφέρουν αγαθά και υπηρεσίες σε άτομα που διαμένουν στην Ευρωπαϊκή Ένωση (ΕΕ) ή που συλλέγουν και αναλύουν δεδομένα που συνδέονται με κατοίκους της ΕΕ. Ο κανονισμός GDPR εφαρμόζεται ανεξαρτήτως από το πού βρίσκεται η έδρα της εταιρείας και ισχύει για οργανισμούς όλων των μεγεθών και όλων των κλάδων.

Το GDPR είναι δομημένο γύρω από έξι αρχές:

  • Διασφάλιση της διαφάνειας ως προς το χειρισμό και τη χρήση των προσωπικών δεδομένων.
  • Περιορισμός της επεξεργασίας των προσωπικών δεδομένων για συγκεκριμένους, νόμιμους σκοπούς.
  • Περιορισμός της συλλογής και αποθήκευσης των προσωπικών δεδομένων για επιδιωκόμενους σκοπούς.
  • Εξασφάλιση της δυνατότητας σε μεμονωμένα άτομα για διόρθωση και αίτηση διαγραφής των προσωπικών τους δεδομένων.
  • Περιορισμός της αποθήκευσης των προσωπικά αναγνωρίσιμων δεδομένων μόνο για το απαιτούμενο διάστημα, ανάλογα με τον επιδιωκόμενο σκοπό.
  • Διασφάλιση της προστασίας των προσωπικών δεδομένων μέσα από τις κατάλληλες πρακτικές ασφαλείας.

Το GDPR επιβάλλει στους οργανισμούς να προστατεύουν τα προσωπικά δεδομένα ανάλογα με το πόσο ευαίσθητα είναι. Σε περίπτωση διαρροής δεδομένων, οι υπεύθυνοι ελέγχου των δεδομένων πρέπει, σε γενικές γραμμές, να ενημερώνουν τις σχετικές αρχές εντός 72 ωρών. Επιπλέον, αν η διαρροή είναι πιθανό να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες ενός ατόμου, οι οργανισμοί θα πρέπει επίσης να ενημερώνουν και τα άτομα που επηρεάζονται, χωρίς καμία αδικαιολόγητη καθυστέρηση.

Απαραίτητη προϋποθεση για την επεξεργασία των προσωπικών δεδομένων είναι η συγκατάθεση του ατόμου. Αυτή πρέπει να είναι “ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει”. Πάντοτε πρέπει να διενεργείται εκτίμηση του αντικτύπου και της επίδρασης στο ιδιωτικό απόρρητο που μπορεί να έχουν διάφορα έργα και να λαμβάνουν μέτρα άμβλυνσης των τυχόν αρνητικών ζητημάτων. Τα αρχεία επεξεργασίας, οι συναινέσεις του ατόμου για την επεξεργασία και προστασία δεδομένων και η συμμόρφωση με το GDPR θα πρέπει να τεκμηριώνονται εγγράφως.

Είναι πολύ σημαντικό να θυμόμαστε πως η συμμόρφωση με τον κανονισμό GDPR δεν αφορά μια μόνο ενέργεια και μία μόνο στιγμή. Η συμμόρφωση είναι μια διαρκής διαδικασία. Η μη συμμόρφωση με το GDPR μπορεί να επιφέρει σημαντικά πρόστιμα. Για τη διασφάλιση της συμμόρφωσης με το GDPR, οι οργανισμοί πρέπει να ενθαρρύνονται ως προς την υιοθέτηση μια κουλτούρας περί ιδιωτικού απορρήτου που θα προστατεύει τα συμφέροντα του ατόμου για τα προσωπικά του δεδομένα.

Τα πρώτα βήματα για το GDPR

Μία προτεινόμενη μεθοδολογία για να επιτύχετε τη συμμόρφωση με τον κανονισμό GDPR, περιλαμβάνει τέσσερα βασικά βήματα:

  • προσδιορίστε ποια δεδομένα που διαθέτετε είναι προσωπικά και πού βρίσκονται.
  • καθορίστε πώς θα χρησιμοποιούνται και πώς θα γίνεται η πρόσβαση στα προσωπικά δεδομένα.
  • καθιερώστε ελέγχους ασφαλείας για την αποτροπή διαρροών δεδομένων, τον έγκαιρο εντοπισμό τους σε περίπτωση που γίνουν και την αναίρεση των τρωτών σημείων διαρροής δεδομένων.
  • πραγματοποιήστε αιτήματα δεδομένων, δημιουργήστε αναφορές για διαρροές δεδομένων και διατηρήστε την απαιτούμενη τεκμηρίωση.

Κρίσιμη Απαίτηση: Τεκμηρίωση

Για να αποδείξει, μία εοιχείρηση, τη συμμόρφωση της με τον νέο κανονισμό, είναι απαραίτητο να διαθέτει συμπληρωμένη μια πληθώρα εγγράφων, τα οποία σε τυχόν έλεγχο θα αποδείξουν ότι όντως υπάρχουν προδιαγραφές και διαδικασίες. Παράλληλα, τα έγγραφα αυτά θα βοηθήσουν τη διοίκηση της επιχείρησης να κατανοήσει τα βήματα που πρέπει να ακολουθήσετε για τη συμμόρφωση.

Τι χρειάζεται λοιπόν;

  • Δηλώσεις των προσωπικών δεδομένων που συλλέγονται και γίνονται αντικείμενο επεξεργασίας
  • Περιγραφή του σκοπού της επεξεργασίας
  • Έγγραφα με τη συγκατάθεση από τα υποκείμενα της επεξεργασίας (από γονέα σε περίπτωση ανηλίκων)
  • Καταγραφή ενεργειών κατά την επεξεργασία
  • Περιγραφή μεθόδων προστασίας των δεδομένων, όπως κρυπτογράφηση, πολιτική προστασίας δεδομένων, κλπ

Κάποιες συμβουλές για την τεκμηρίωση

  • Φροντίστε να είναι πλήρης η τεκμηρίωση
  • Μην ξεχάσετε κάτι σχετικό με τα άρθρα του κανονισμού
  • Προσαρμώστε την τεκμηρίωση στα μέτρα της εταιρίας
  • Να είναι πάντα διαθέσιμη στο προσωπικό της εταιρίας, ανάλογα με τον ρόλο του καθενός μέσα στην εταιρία
  • Αποφύγετε διπλά κείμενα, όταν έρθει η ώρα να ανανεώσετε κάτι να το κάνετε μόνο σε ένα σημείο

Η βοήθεια Συμβούλου είναι πολύ χρήσιμη, στην περίπτωση που η επιχείρηση δεν έχει ασχοληθεί σε προηγούμενο στάδιο με κάποια πιστοποίηση. Επειδή πρόκειται για ζήτημα με μικρή προϊστορία, η πιστοποίηση GDPR απαιτεί εμπειρία σε πιστοποιήσεις, ικανότητες σε καλή τεκμηρίωση και σωστή περιγραφή διαδικασιών, καθηκόντων και μεθοδολογιών.

Η BIZEXPERTS διαθέτει εκτεταμμένη εμπειρία σε Πιστοποιήσεις και είναι στη διάθεσή σας να στηρίξει τις προσπάθειες σας για κάτι που θα απειλείσει την ύπαρξη της επιχείρησής σας, στο άμεσο μέλλον.

Μηχανολόγος Μηχανικός του Α.Π.Θ. με μεταπτυχιακές σπουδές στην Χρηματοοικονομική Διοίκηση του Οικονομικού Πανεπιστημίου Αθήνας και στη Διοίκηση Παραγωγικών Συστημάτων του Α.Π.Θ. Επιθεωρητής Συστημάτων Διαχείρισης Ποιότητας.

Write a Comment